• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-二层技术-以太网交换配置指导

目录

08-VLAN映射配置

本章节下载 08-VLAN映射配置  (654.51 KB)

08-VLAN映射配置


1 VLAN映射

1.1  VLAN映射简介

VLAN映射(VLAN Mapping)也叫做VLAN转换(VLAN Translation),它可以修改报文携带的VLAN Tag或为报文添加VLAN Tag,实现不同VLAN ID之间的相互转换。

1.1.1  VLAN映射的分类

目前设备提供下面几种映射关系:

·     1:1 VLAN映射:将来自某一特定VLAN的报文所携带的VLAN Tag替换为新的VLAN Tag。

·     N:1 VLAN映射:将来自多个VLAN的报文所携带的不同VLAN Tag替换为相同的VLAN Tag。

·     1:2 VLAN映射:为携带有一层VLAN Tag的报文添加外层VLAN Tag,使报文携带两层VLAN Tag。

·     0:2 VLAN映射:为没有携带VLAN Tag的报文添加两层VLAN Tag。

·     2:1 VLAN映射:发送报文时将其携带的两层VLAN Tag替换为新的一层VLAN Tag。

·     2:2 VLAN映射:将携带有两层VLAN Tag的报文的内、外层VLAN Tag都替换为新的VLAN Tag。

1.1.2  VLAN映射的应用

1. 1:1和N:1 VLAN映射的应用

1:1和N:1 VLAN映射的应用环境如图1-1所示,小区实现宽带上网业务。

图1-1 1:1和N:1 VLAN映射应用示意图

 

图1-1中,进行了如下网络规划:

·     在家庭网关上,分别将电脑上网(PC)、视频点播(VoD)和语音电话(VoIP)业务依次划分到不同VLAN。

·     在楼道交换机上,为了隔离不同家庭的同类业务,需要将每个家庭的每种业务都划分到不同的VLAN,即进行1:1 VLAN映射,这就要用到大量的VLAN。

·     在园区交换机上,因为汇聚层网络接入设备可提供的VLAN数量有限,为了节省VLAN资源,需要进行VLAN的汇聚,将所有家庭的同类业务都划分到相同的VLAN,即进行N:1 VLAN映射。

2. 1:2和2:2 VLAN映射的应用

1:2和2:2 VLAN映射的应用环境如图1-2所示,VPN A中处于不同地理位置(Site 1和Site 2)的用户跨越了两个SP(Service Provider,服务提供商)——SP 1和SP 2的网络进行互通。

图1-2 1:2和2:2 VLAN映射应用示意图

 

图1-2中,Site 1和Site 2中的用户所在的VLAN分别为VLAN 2和VLAN 3,SP 1和SP 2分配给VPN A的VLAN分别为VLAN 10和VLAN 20。当Site 1的报文进入SP 1的网络后,PE 1为该报文添加了VLAN 10的VLAN Tag,这个过程就是1:2 VLAN映射。这样,VPN用户就可以自由规划自己网络中的VLAN ID,而不用担心与SP的VLAN ID相冲突,同时也因为此时报文携带两层VLAN Tag,网络可用的VLAN为4094×4094个,缓解了原先SP网络中可用VLAN只有4094个带来的VLAN资源紧缺的问题。

当上述报文继续由SP 1的网络进入SP 2的网络后,由于SP 2分配给VPN A的VLAN与SP 1不同,另外为了实现Site 1与Site 2中的用户互通,需要同时修改该报文的内、外两层VLAN Tag,也就是进行2:2 VLAN映射。具体过程为,在PE 3上需将该报文的外层VLAN Tag替换为VLAN 20的VLAN Tag,同时将其内层VLAN Tag替换为VLAN 3的VLAN Tag。

3. 0:2 VLAN映射的应用

与1:2 VLAN映射类似,但适用于原始报文不带VLAN Tag,组网需求需要为报文添加两层VLAN Tag的情况。

4. 2:1 VLAN映射的应用

图1-3 2:1 VLAN映射应用示意图

 

图1-3中,进行了如下网络规划:

·     在Device A上,分别将不同业务依次划分到不同VLAN。

·     在DeviceB上,通过1:1 VLAN映射与1:2映射实现各类业务的统一规划与隔离。

·     进行了上述配置后,为了使回程流量中携带的VLAN Tag能够被Device A成功还原,可通过在DeviceB上配置2:1 VLAN映射将VLAN还原为Device A为各业务划分的原始VLAN。

1.1.3  VLAN映射实现方式

图1-4所示,VLAN映射有如下相关概念:

·     上行数据流:从用户网络发往汇聚层网络或SP网络的数据流。

·     下行数据流:从汇聚层网络或SP网络发往用户网络的数据流。

·     上行端口:发送上行数据流和接收下行数据流的端口。

·     下行端口:发送下行数据流和接收上行数据流的端口。

图1-4 VLAN映射相关概念示意图

 

1. 1:1 VLAN映射实现方式

图1-5 1:1 VLAN映射实现方式示意图

 

图1-5所示,通过在下行端口配置1:1 VLAN映射,设备将上行数据流的CVLAN替换为SVLAN,将下行数据流的SVLAN替换为CVLAN。

2. N:1 VLAN映射实现方式(普通模式)

图1-6 普通模式IPv4地址环境下N:1 VLAN映射实现方式示意图

 

图1-7 普通模式IPv6地址环境下N:1 VLAN映射实现方式示意图

 

图1-6 图1-7所示,普通模式N:1 VLAN映射的实现方式如下:

·     对于上行数据流,通过在下行端口上配置用户侧N:1 VLAN映射,设备将来自多个CVLAN的报文所携带的不同VLAN Tag都替换为同一个SVLAN的VLAN Tag。

·     对于下行数据流,通过在上行端口上配置网络侧N:1 VLAN映射,设备查找DHCP Snooping/DHCPv6 Snooping或ARP Snooping/ND Snooping表项,将报文中SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。有关DHCP Snooping的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。有关ARP Snooping的详细介绍,请参见“三层技术-IP业务配置指导”中的“ARP Snooping”。有关DHCPv6 Snooping的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCPv6”。有关ND Snooping的详细介绍,请参见“三层技术-IP业务命令参考”中的“IPv6基础”。

3. N:1 VLAN映射实现方式(Enhanced模式)

图1-8 Enhanced模式N:1 VLAN映射实现方式示意图(二层流量)

 

图1-9 Enhanced模式N:1 VLAN映射实现方式示意图(IPv4协议栈三层流量)

 

图1-10 Enhanced模式N:1 VLAN映射实现方式示意图(IPv6协议栈三层流量)

 

图1-8图1-9图1-10所示,Enhanced模式N:1 VLAN映射的实现方式如下:

·     对于上行数据流,通过在下行端口上配置Enhanced模式的用户侧N:1 VLAN映射,设备将来自多个CVLAN的报文所携带的不同VLAN Tag都替换为同一个SVLAN的VLAN Tag。

·     对于下行数据流:

¡     当下行数据流为二层流量时,设备根据报文携带的VLAN Tag和目的MAC地址匹配设备自动下发的ACL规则将SVLAN映射回CVLAN。

¡     当下行数据流为三层流量时,Enhanced模式的处理与普通模式相同,通过在上行端口上配置网络侧N:1 VLAN映射将SVLAN映射回CVLAN。

4. 1:2 VLAN映射实现方式

图1-11 1:2 VLAN映射实现方式示意图

 

图1-11所示,通过在下行端口上配置1:2 VLAN映射,设备为上行数据流的CVLAN报文再添加一层SVLAN的VLAN Tag。

配置1:2 VLAN映射时,为保证下行数据流可以顺利到达用户网络,在发送SVLAN报文时,需要剥离其外层VLAN Tag,只保留CVLAN Tag。可选择如下两种方式的一种来实现剥离外层VLAN Tag:

·     配置下行端口为Hybrid端口,并配置当该端口发送SVLAN报文时不带VLAN Tag。

·     配置下行端口成Trunk端口,并将SVLAN设为该端口的PVID。

5. 0:2 VLAN映射实现方式

图1-12 0:2 VLAN映射实现方式示意图

 

图1-12所示,0:2 VLAN映射的实现方式如下:

·     对于上行数据流,通过在下行端口上配置0:2 VLAN映射,设备为端口收到的Untagged报文添加两层VLAN Tag。需要注意的是,为确保0:2 VLAN映射生效,下行端口的PVID必须配置为SVLAN。

·     对于下行数据流,设备将在下行端口自动剥离SVLAN Tag和CVLAN Tag。其中,为实现剥离SVLAN Tag,需要从如下三种方式中选择一种:

¡     配置下行端口为Access端口,将该端口加入SVLAN。

¡     配置下行端口为Trunk端口,允许SVLAN通过并将SVLAN设为该端口的PVID。

¡     配置下行端口为Hybrid端口,允许SVLAN通过并将SVLAN设为该端口的PVID,同时配置当该端口发送SVLAN报文时不携带VLAN Tag。

6. 2:1 VLAN映射实现方式

图1-13 2:1 VLAN映射实现方式示意图

图1-13所示,通过在下行端口配置2:1 VLAN映射,设备将下行数据流的SVLAN’、CVLAN’两层VLAN Tag转换为一层VLAN Tag(CVLAN),2:1 VLAN映射功能仅在端口发送报文时生效,接收报文时无映射动作。

7. 2:2 VLAN映射实现方式

图1-14 2:2 VLAN映射实现方式示意图

 

图1-14所示,通过在下行端口配置2:2 VLAN映射,设备将上行数据流的SVLAN、CVLAN转换为SVLAN’、CVLAN’,将下行数据流的SVLAN’、CVLAN’转换为SVLAN、CVLAN。

1.2  VLAN映射配置限制和指导

当设备配置满规格VLAN映射关系时,可能由于hash冲突或者设备资源不足导致部分VLAN映射配置丢失,故尽量避免配置满规格VLAN映射关系。

请不要在VXLAN/MPLS L2VPN网络的AC所在端口或VXLAN隧道所在端口上配置VLAN映射功能,否则会导致报文转发异常。关于VXLAN的介绍,请参见“VXLAN配置指导”;关于MPLS L2VPN的介绍,请参见“MPLS配置指导”中的“MPLS L2VPN”。

接口配置了VLAN映射功能后,VLAN映射涉及到的VLAN Tag所对应的VLAN接口不支持三层业务,不建议在设备上创建对应的VLAN接口。

ONU接口配置1:1 VLAN映射功能时,不支持三层业务。

配置N:1 VLAN映射时,如果上行端口收到的报文既有二层报文又有三层报文,需要将用户侧的N:1 VLAN映射配置为Enhanced模式。

Enhanced模式N:1 VLAN映射功能有如下限制:

·     不支持和QinQ功能配合使用。有关QinQ的介绍,请参见“二层技术-以太网交换配置指导”中的“QinQ”。

·     不支持在二层聚合接口上配置。

·     对于配置了Enhanced模式N:1 VLAN映射的端口,该端口及其所属VLAN均不支持MAC地址数学习上限功能。有关MAC地址学习相关功能的介绍,请参见“二层技术-以太网交换配置指导”中的“MAC地址表”。

1.3  VLAN映射配置任务简介

用户需要根据网络规划,在不同的设备上进行不同的VLAN映射配置。

配置VLAN映射时,需要注意:

·     若用户同时通过配置VLAN映射和QinQ来添加报文的VLAN Tag,且配置冲突时,VLAN映射的配置生效。有关QinQ的详细介绍,请参见“二层技术-以太网交换”中的“QinQ”。

·     若用户同时通过配置VLAN映射和QoS策略来修改或添加报文的VLAN Tag,且配置冲突时,QoS策略的配置生效。有关QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS配置方式”。

表1-1 VLAN映射配置任务简介

配置任务

说明

详细配置

配置1:1 VLAN映射

图1-1所示的组网中,需要在楼道交换机上进行此配置

1.4 

配置N:1 VLAN映射(通过DHCP获取IP地址环境)

图1-1所示的组网中,需要在园区交换机上进行此配置

1.5.2 

1.5.3 

配置N:1 VLAN映射(手动配置IP地址环境)

图1-1所示的组网中,需要在园区交换机上进行此配置

1.5.4 

1.5.5 

配置N:1 VLAN映射(二层互通场景)

图1-1所示的组网中,需要在园区交换机上进行此配置

1.5.6 

配置1:2 VLAN映射

图1-2所示的组网中,需要在用户进入SP网络的边缘设备PE 1和PE 4上进行此配置

1.6 

配置0:2 VLAN映射

-

1.7 

配置2:1 VLAN映射

图1-3所示的组网中,需要在Device B的下行端口上进行此配置

1.8 

配置2:2 VLAN映射

图1-2所示的组网中,需要在SP 2网络的边缘设备PE 3上进行此配置

1.9 

 

1.4  配置1:1 VLAN映射

图1-1所示的组网中,需要在楼道交换机上配置1:1 VLAN映射,以便将不同用户的不同业务用不同的VLAN进行隔离。

在配置1:1 VLAN映射前,需要先创建好原始VLAN和转换后VLAN。

1:1 VLAN映射需要在设备下行端口上进行配置。

表1-2 配置1:1 VLAN映射

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

·     进入OLT接口视图
interface olt interface-number

·     进入ONU接口视图:
interface onu interface-number

-

配置端口链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许原始VLAN及转换后VLAN通过当前端口

·     port trunk permit vlan vlan-id-list

·     port hybrid vlan vlan-id-list tagged

二者选其一

配置1:1 VLAN映射

vlan mapping vlan-id translated-vlan vlan-id

缺省情况下,接口上未配置VLAN映射

 

1.5  配置N:1 VLAN映射

1.5.1  功能简介

图1-1所示的组网中,需要在园区交换机上配置N:1 VLAN映射,以便将不同用户的相同业务用同一个VLAN进行发送,从而节省VLAN资源。

1.5.2  配置N:1 VLAN映射(通过DHCP获取IP v4地址环境)

1. 功能简介

在通过DHCP获取IPv4地址的环境中,配置N:1 VLAN映射功能需要配合使用DHCP Snooping功能。设备通过查找DHCP Snooping表项,可以将下行数据流报文中SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。DHCP Snooping相关命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCP Snooping”。

2. 配置限制和指导

·     当上行端口收到的报文既有二层报文又有三层报文时,需要将用户侧的N:1 VLAN映射配置为Enhanced模式。

·     该功能不能与uRPF(Unicast Reverse Path Forwarding,单播反向路径转发)功能同时使用,否则会造成网络侧发往用户侧的流量不能正常转发。有关uRPF的详细介绍,请参见“安全配置指导”中的“uRPF”。

·     如果用户想改变N:1 VLAN映射关系,必须先用reset dhcp snooping binding命令清除DHCP Snooping表项,然后再修改N:1 VLAN映射关系。

·     N:1 VLAN映射配置中,ARP Detection相关命令的详细介绍,请参见“安全命令参考”中的“ARP攻击防御”。

·     ONU接口上不支持配置DHCP Snooping和VLAN映射联动。

3. 配置任务简介

表1-3 N:1 VLAN映射配置任务简介(通过DHCP获取IPv4地址环境)

配置任务

说明

详细配置

使能DHCP Snooping功能

必选

1.5.2  4.

使能ARP Detection功能

必选

1.5.2  5.

配置下行端口

必选

1.5.2  6.

配置上行端口

必选

1.5.2  7.

 

4. 使能DHCP Snooping功能

表1-4 使能DHCP Snooping功能

操作

命令

说明

进入系统视图

system-view

-

使能DHCP Snooping功能

dhcp snooping enable

缺省情况下,DHCP Snooping功能处于关闭状态

 

5. 使能ARP Detection功能

请在所有需要进行映射的VLAN(包括原始VLAN和转换后VLAN)上都使能ARP Detection功能。

表1-5 使能ARP Detection功能

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

使能ARP Detection功能

arp detection enable

缺省情况下,ARP Detection功能处于关闭状态

 

6. 配置下行端口

表1-6 配置下行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

-

配置端口链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许原始VLAN及转换后VLAN通过当前端口

·     port trunk permit vlan vlan-id-list

·     port hybrid vlan vlan-id-list tagged

二者选其一

配置用户侧N:1 VLAN映射

vlan mapping uni { range vlan-range-list | single vlan-id-list } translated-vlan vlan-id [ enhanced ]

缺省情况下,接口上未配置VLAN映射

指定enhanced参数时,表示Enhanced模式用户侧N:1 VLAN映射,不指定enhanced参数时,表示普通模式用户侧N:1 VLAN映射。

开启端口的DHCP Snooping表项记录功能

dhcp snooping binding record

缺省情况下,接口的DHCP Snooping表项记录功能处于关闭状态

 

7. 配置上行端口

表1-7 配置上行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

-

配置端口链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许转换后VLAN通过当前端口

·     port trunk permit vlan vlan-id-list

·     port hybrid vlan vlan-id-list tagged

二者选其一

配置端口为DHCP信任端口

dhcp snooping trust

缺省情况下,在使能DHCP Snooping功能后,设备上所有支持DHCP Snooping功能的端口均为不信任端口

配置端口为ARP信任端口

arp detection trust

缺省情况下,接口为ARP非信任接口

配置网络侧N:1 VLAN映射

vlan mapping nni

缺省情况下,接口上未配置VLAN映射

 

1.5.3  配置N:1 VLAN映射(通过DHCPv6获取IPv6地址环境)

1. 功能简介

在通过DHCPv6获取IPv6地址环境中,配置N:1 VLAN映射功能需要配合使用DHCPv6 Snooping功能。设备通过查找DHCPv6 Snooping表项,可以将下行数据流报文中SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。DHCPv6 Snooping相关命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCPv6”。

2. 配置限制和指导

·     当上行端口收到的报文既有二层报文又有三层报文时,需要将用户侧的N:1 VLAN映射配置为Enhanced模式。

·     该功能不能与uRPF(Unicast Reverse Path Forwarding,单播反向路径转发)功能同时使用,否则会造成网络侧发往用户侧的流量不能正常转发。有关uRPF的详细介绍,请参见“安全配置指导”中的“uRPF”。

·     如果用户想改变N:1 VLAN映射关系,必须先用reset ipv6 dhcp snooping binding命令清除DHCPv6 Snooping表项,然后再修改N:1 VLAN映射关系。

·     N:1 VLAN映射配置中,ND Detection相关命令的详细介绍,请参见“安全命令参考”中的“ND攻击防御”。

3. 配置任务简介

表1-8 N:1 VLAN映射配置任务简介(通过DHCPv6获取IPv6地址环境)

配置任务

说明

详细配置

使能DHCPv6 Snooping功能

必选

1.5.3  4.

使能ND Detection功能

必选

1.5.3  5.

配置下行端口

必选

1.5.3  6.

配置上行端口

必选

1.5.3  7.

 

4. 使能DHCPv6 Snooping功能

表1-9 使能DHCPv6 Snooping功能

操作

命令

说明

进入系统视图

system-view

-

使能DHCP Snooping功能

ipv6 dhcp snooping enable

缺省情况下,DHCPv6 Snooping功能处于关闭状态

 

5. 使能ND Detection功能

表1-10 使能ND Detection功能

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

使能ND Detection功能

ipv6 nd detection enable

缺省情况下,ND Detection功能处于关闭状态

请在所有需要进行映射的VLAN(包括原始VLAN和转换后VLAN)上都使能ND Detection功能

 

6. 配置下行端口

表1-11 配置下行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图
interface interface-type interface-number

·     进入二层聚合接口视图
interface bridge-aggregation interface-number

·     进入ONU接口视图
interface onu interface-number

 

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许原始VLAN及转换后VLAN通过

·     配置Trunk端口允许原始VLAN及转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许原始VLAN及转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

配置用户侧N:1 VLAN映射

vlan mapping uni { range vlan-range-list | single vlan-id-list } translated-vlan vlan-id [ enhanced ]

缺省情况下,接口上未配置VLAN映射

指定enhanced参数时,表示Enhanced模式用户侧N:1 VLAN映射,不指定enhanced参数时,表示普通模式用户侧N:1 VLAN映射

开启端口的DHCPv6 Snooping表项记录功能

ipv6 dhcp snooping binding record

缺省情况下,接口的DHCPv6 Snooping表项记录功能处于关闭状态

 

7. 配置上行端口

表1-12 配置上行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图
interface interface-type interface-number

·     进入二层聚合接口视图
interface bridge-aggregation interface-number

·     进入ONU接口视图
interface onu interface-number

 

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许转换后VLAN通过

·     配置Trunk端口允许转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

配置端口为DHCPv6 Snooping信任端口

ipv6 dhcp snooping trust

缺省情况下,在使能DHCPv6 Snooping功能后,设备上所有支持DHCPv6 Snooping功能的端口均为不信任端口

配置端口为ND信任端口

ipv6 nd detection trust

缺省情况下,接口为ND非信任接口

配置网络侧N:1 VLAN映射

vlan mapping nni

缺省情况下,接口上未配置VLAN映射

 

1.5.4  配置N:1 VLAN映射(手动配置IPv4地址环境)

1. 功能简介

在手动配置IPv4地址的环境中,配置N:1 VLAN映射功能需要配合使用ARP Snooping功能。设备通过查找ARP Snooping表项,可以将下行数据流报文中SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。ARP Snooping相关命令的详细介绍,请参见“三层技术-IP业务命令参考/ARP”中的“ARP Snooping”。

2. 配置限制和指导

·     当上行端口接收的报文既有三层报文又有二层报文时,需要将用户侧的N:1 VLAN映射配置为Enhanced模式。

·     该功能不能与uRPF功能同时使用,否则会造成网络侧发往用户侧的流量不能正常转发。有关uRPF的详细介绍,请参见“安全配置指导”中的“uRPF”。

·     不同的CVLAN内不能配置有相同的IPv4地址。

·     如果同一VLAN内同一IPv4地址对应的MAC地址发生变化,会造成冲突,使ARP Snooping表项失效。此时可以使用reset arp snooping命令清除指定IP地址的ARP Snooping表项或等待表项老化。

·     如果用户想改变N:1 VLAN映射关系,必须先用reset arp snooping命令清除所涉及VLAN的ARP Snooping表项,然后再修改N:1 VLAN映射关系。

3. 配置任务简介

表1-13 N:1 VLAN映射配置任务简介(手动配置IPv4地址环境)

配置任务

说明

详细配置

使能ARP Snooping功能

必选

1.5.4  4.

配置下行端口

必选

1.5.4  5.

配置上行端口

必选

1.5.4  6.

 

4. 使能ARP Snooping功能

请在所有需要进行映射的VLAN(包括原始VLAN和转换后VLAN)上都使能ARP Snooping功能。

表1-14 使能ARP Snooping功能

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

使能ARP Snooping功能

arp snooping enable

缺省情况下,ARP Snooping功能处于关闭状态

 

5. 配置下行端口

表1-15 配置下行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

-

配置端口链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者必选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许原始VLAN及转换后VLAN通过当前端口

·     port trunk permit vlan vlan-id-list

·     port hybrid vlan vlan-id-list tagged

二者必选其一

配置用户侧N:1 VLAN映射

vlan mapping uni { range vlan-range-list | single vlan-id-list } translated-vlan vlan-id [ enhanced ]

缺省情况下,接口上未配置VLAN映射

指定enhanced参数时,表示Enhanced模式用户侧N:1 VLAN映射,不指定enhanced参数时,表示普通模式用户侧N:1 VLAN映射。

 

6. 配置上行端口

表1-16 配置上行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

-

配置端口链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者必选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许转换后VLAN通过当前端口

·     port trunk permit vlan vlan-id-list

·     port hybrid vlan vlan-id-list tagged

二者必选其一

配置网络侧N:1 VLAN映射

vlan mapping nni

缺省情况下,接口上未配置VLAN映射

 

1.5.5  配置N:1 VLAN映射(手动配置IPv6地址环境)

1. 功能简介

在手动配置IPv6地址的环境中,配置N:1 VLAN映射功能需要配合使用ND Snooping功能。设备通过查找ND Snooping表项,可以将下行数据流报文中SVLAN的VLAN Tag替换为CVLAN的VLAN Tag。ND Snooping相关命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IPv6基础”。

2. 配置限制和指导

·     当上行端口接收的报文既有三层报文又有二层报文时,需要将用户侧的N:1 VLAN映射配置为Enhanced模式。

·     该功能不能与uRPF功能同时使用,否则会造成网络侧发往用户侧的流量不能正常转发。有关uRPF的详细介绍,请参见“安全配置指导”中的“uRPF”。

·     不同的CVLAN内不能配置有相同的IP地址。

·     如果同一VLAN内同一IPv6地址对应的MAC地址发生变化,会造成冲突,使ND Snooping表项失效。此时可以使用reset ipv6 nd snooping vlan命令清除ARP Snooping表项或等待表项老化。

·     如果用户想改变N:1 VLAN映射关系,必须先用reset ipv6 nd snooping vlan命令清除所涉及VLAN的ND Snooping表项,然后再修改N:1 VLAN映射关系。

·     ONU接口上不支持配置ND Snooping和VLAN映射联动。

3. 配置任务简介

表1-17 N:1 VLAN映射配置任务简介(手动配置IPv4地址环境)

配置任务

说明

详细配置

使能ND Snooping功能

必选

1.5.5  4.

配置下行端口

必选

1.5.5  5.

配置上行端口

必选

1.5.5  6.

 

4. 使能ND Snooping功能

表1-18 使能ND Snooping功能

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

请根据实际组网使用的IPv6地址类型,选择需要开启的ND Snooping功能

·     开启学习表项地址类型为全球单播地址的ND Snooping表项的功能
ipv6 nd snooping enable global

·     开启学习表项地址类型为链路本地地址的ND Snooping表项的功能
ipv6 nd snooping enable link-local

缺省情况下,学习表项地址类型为全球单播地址或链路本地地址的ND Snooping功能处于关闭状态

请在所有需要进行映射的VLAN(包括原始VLAN和转换后VLAN)上都使能ND Snooping功能

 

5. 配置下行端口

表1-19 配置下行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图
interface interface-type interface-number

·     进入二层聚合接口视图
interface bridge-aggregation interface-number

 

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许原始VLAN及转换后VLAN通过

·     配置Trunk端口允许原始VLAN及转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许原始VLAN及转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

配置用户侧N:1 VLAN映射

vlan mapping uni { range vlan-range-list | single vlan-id-list } translated-vlan vlan-id [ enhanced ]

缺省情况下,接口上未配置VLAN映射

指定enhanced参数时,表示Enhanced模式用户侧N:1 VLAN映射,不指定enhanced参数时,表示普通模式用户侧N:1 VLAN映射

 

6. 配置上行端口

表1-20 配置上行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图
interface interface-type interface-number

·     进入二层聚合接口视图
interface bridge-aggregation interface-number

 

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许转换后VLAN通过

·     配置Trunk端口允许转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

配置网络侧N:1 VLAN映射

vlan mapping nni

缺省情况下,接口上未配置VLAN映射

 

1.5.6  配置N:1 VLAN映射(二层互通场景)

1. 功能简介

当N:1 VLAN映射应用于用户侧与网络侧之间仅有二层流量互通的场景时,可以通过配置Enhanced模式的用户侧N:1 VLAN映射实现。

此场景无需进行N:1 VLAN映射网络侧配置。设备根据报文携带的VLAN Tag和目的MAC地址匹配设备自动下发的ACL规则将SVLAN映射回CVLAN。

2. 配置限制和指导

该功能不能与MAC禁止学习功能同时使用,否则会造成网络侧发往用户侧的流量不能正常转发。有关MAC地址学习相关功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“MAC地址表”。

3. 配置任务简介

表1-21 配置N:1 VLAN映射(二层互通场景)

配置任务

说明

详细配置

配置下行端口

必选

1.5.6  4.

配置上行端口

必选

1.5.6  5.

 

4. 配置下行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

进入二层以太网接口视图:
interface
interface-type interface-number

-

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许原始VLAN及转换后VLAN通过

·     配置Trunk端口允许原始VLAN及转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许原始VLAN及转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

配置Enhanced模式用户侧N:1 VLAN映射

vlan mapping uni { range vlan-range-list | single vlan-id-list } translated-vlan vlan-id enhanced

缺省情况下,接口上未配置VLAN映射

 

5. 配置上行端口

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图
interface interface-type interface-number

·     进入二层聚合接口视图
interface bridge-aggregation interface-number

-

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许转换后VLAN通过

·     配置Trunk端口允许转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

 

1.5.7  配置N:1 VLAN映射接入用户规格的模式

1. 功能简介

通过配置本功能,可以使设备在进行N:1 VLAN映射时,在以下两种接入用户规格的模式中切换:

·     普通模式。在本模式下,设备在对N:1 VLAN映射的下行数据三层流量进行转发时,针对不同用户,使用不同的目的MAC地址。本模式占用接口的MAC资源较多,设备可接入的用户规格较小,在设备需要接入较少用户时建议使用本模式。

·     增强模式。在本模式下,设备在对N:1 VLAN映射的下行数据三层流量进行转发时,针对不同用户,可以使用相同的目的MAC地址。本模式占用接口的MAC资源较少,设备可接入的用户规格较大,在设备需要接入较多用户时建议使用本模式。

2. 配置限制和指导

配置本功能后,需要用户保存配置并重启设备后才能生效,否则配置不生效。删除配置时也需要用户保存配置并重启设备后才能生效。

在增强模式下,设备从N:1 VLAN映射网络侧接口接收的未知单播报文将直接丢弃。

3. 配置步骤

表1-22 配置N:1 VLAN映射接入用户规格的模式

操作

命令

说明

进入系统视图

system-view

-

配置N:1 VLAN映射接入用户规格的模式

vlan mapping resource-mode { common | enhanced }

缺省情况下,N:1 VLAN映射接入用户规格的模式为增强模式。

 

1.6  配置1:2 VLAN映射

图1-2所示的组网中,需要在用户进入SP网络的边缘设备PE 1和PE 4上配置1:2 VLAN映射,以便为报文添加SP分配给用户的外层VLAN Tag,使得不同用户的报文在SP网络中传输时被完全隔离。

在配置1:2 VLAN映射前,需要先创建好转换后VLAN。设备上无需创建原始VLAN或允许原始VLAN通过端口。

需要注意的是,1:2 VLAN映射为报文加上外层VLAN Tag后,内层VLAN Tag将被当作报文的数据部分进行传输,报文长度将增加4个字节。因此建议用户适当增加映射后报文传输路径上各接口的MTU(Maximum Transmission Unit,最大传输单元)值(至少为1504字节)。

1:2 VLAN映射需要在设备下行端口上进行配置。

表1-23 配置1:2 VLAN映射

操作

命令

说明

 

进入系统视图

system-view

-

 

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

·     进入OLT接口视图
interface olt interface-number

-

 

配置端口的链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许转换后外层VLAN不带Tag通过当前端口

·     配置Trunk端口的PVID为添加的外层VLAN并允许该VLAN通过:

¡ port trunk pvid vlan vlan-id

¡ port trunk permit vlan { vlan-id-list | all }

·     配置允许添加的外层VLANUntagged方式通过Hybrid端口:
port hybrid vlan
vlan-id-list untagged

二者选其一

 

配置1:2 VLAN映射

vlan mapping nest { range vlan-range-list | single vlan-id-list } nested-vlan vlan-id [ dot1p priority ]

缺省情况下,接口上未配置VLAN映射

仅OLT接口支持指定dot1p参数

一个原始VLAN只能映射一个转换后外层VLAN。若要为不同原始VLAN的报文添加不同的外层VLAN Tag,需将端口的链路类型配置为Hybrid类型并多次执行本命令

 

 

1.7  配置0:2 VLAN映射

配置0:2 VLAN映射时,在携带两层VLAN Tag的报文的传输路径上建议用户适当增加各接口的MTU值(至少为1504字节)。另外,需确保上行端口允许SVLAN以Tagged方式通过。

0:2 VLAN映射需要在设备下行端口上进行配置。

表1-24 配置0:2 VLAN映射

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

·     进入OLT接口视图
interface olt interface-number

-

配置端口的链路类型

·     配置端口的链路类型为Access类型:
port link-type access

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

三者选其一

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许SVLAN以Untagged方式通过

·     将Access端口加入到SVLAN:
port access vlan vlan-id

·     配置Trunk端口允许SVLAN通过,并配置Trunk端口的PVID为SVLAN
port trunk permit vlan
vlan-id-list
port trunk pvid vlan vlan-id

·     配置Hybrid端口允许SVLANUntagged方式通过,并配置Hybrid端口的PVID为SVLAN
port hybrid vlan
vlan-id-list untagged
port hybrid pvid vlan vlan-id

三者选其一

配置0:2 VLAN映射

vlan mapping untagged nested-outer-vlan outer-vlan-id nested-inner-vlan inner-vlan-id

缺省情况下,接口上未配置VLAN映射

 

1.8  配置2:1 VLAN映射

1. 功能简介

图1-3所示的组网中,需要在Device B的下行端口上配置2:1 VLAN映射,将报文携带的两层VLAN Tag替换成新的一层VLAN Tag,使得Device A可以在发送报文时正常剥离VLAN Tag。

2. 配置限制和指导

在同一接口上,2:1 VLAN映射的原始内、外层VLAN与2:2 VLAN映射或0:2 VLAN映射的转换后内、外层VLAN不允许完全相同。

在同一接口上,如果指定的内、外层VLAN ID分别相同,则不允许多次配置vlan mapping egress命令。若需修改已有vlan mapping egress配置,须先执行undo vlan mapping egress命令清除已有配置,再执行vlan mapping egress命令。

3. 配置步骤

操作

命令

说明

进入系统视图

system-view

-

进入OLT接口视图

interface olt interface-number

-

配置端口的链路类型为Hybrid或Trunk

port link-type { hybrid | trunk }

缺省情况下,所有端口的链路类型均为Access类型

配置端口允许转换后VLAN通过

·     配置Trunk端口允许转换后VLAN通过
port trunk permit vlan vlan-id-list

·     配置Hybrid端口允许转换后VLAN通过
port hybrid vlan vlan-id-list tagged

缺省情况下,Trunk端口只允许VLAN 1的报文通过

缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过

配置2:1 VLAN映射

vlan mapping egress outer-vlan outer-vlan-id inner-vlan inner-vlan-id translated-vlan vlan-id

缺省情况下,接口上未配置VLAN映射

 

1.9  配置2:2 VLAN映射

图1-2所示的组网中,需要在SP 2网络的边缘设备PE 3上配置2:2 VLAN映射,将报文外层VLAN Tag替换为新SP网络分配给同一VPN用户的VLAN Tag,同时替换内层VLAN Tag,使得该VPN内原本不同VLAN的用户可以互通。

在配置2:2 VLAN映射前,需要先创建好原始VLAN和转换后VLAN。

2:2 VLAN映射需要在设备下行端口上进行配置。

表1-25 配置2:2 VLAN映射

操作

命令

说明

进入系统视图

system-view

-

进入相应视图

·     进入二层以太网接口视图:
interface
interface-type interface-number

·     进入二层聚合接口视图:
interface bridge-aggregation
interface-number

·     进入OLT接口视图
interface olt interface-number

-

配置端口链路类型

·     配置端口的链路类型为Trunk类型:
port link-type trunk

·     配置端口的链路类型为Hybrid类型:
port link-type hybrid

二者选其一

缺省情况下,所有端口的链路类型均为Access类型

配置允许原始外层VLAN及转换后外层VLAN通过当前端口

·     port trunk permit vlan vlan-id-list

·     port hybrid vlan vlan-id-list tagged

二者选其一

配置2:2 VLAN映射

vlan mapping tunnel outer-vlan-id inner-vlan-id translated-vlan outer-vlan-id inner-vlan-id

缺省情况下,接口上未配置VLAN映射

 

1.10  VLAN映射显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN映射的运行情况,通过查看显示信息验证配置的效果。

表1-26 VLAN映射显示和维护

操作

命令

显示VLAN映射信息

display vlan mapping [ interface interface-type interface-number ]

 

1.11  VLAN映射典型配置举例

1.11.1  1:1和N:1 VLAN映射配置举例

1. 组网需求

·     在某小区,服务提供商为每个家庭都提供了PC、VoD和VoIP这三种数据服务,每个家庭都通过各自的家庭网关接入楼道交换机,并通过DHCP方式自动获取IP地址。

·     服务提供商希望实现以下网络规划:在家庭网关上,分别将PC、VoD和VoIP业务依次划分到VLAN 1~3;在楼道交换机上,为了隔离不同家庭的同类业务,将每个家庭的每种业务都划分到不同的VLAN;而在园区交换机上,为了节省VLAN资源,将所有家庭的同类业务都划分到相同的VLAN,即分别将PC、VoD和VoIP业务依次划分到VLAN 501~503。

2. 组网图

图1-15 1:1和N:1 VLAN映射配置组网图

 

3. 配置步骤

(1)     配置Switch A

# 配置下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为Trunk端口且允许原始VLAN及转换后VLAN通过,同时在端口上配置1:1 VLAN映射。

<SwitchA> system-view

[SwitchA] vlan 2 to 3

[SwitchA] vlan 101 to 102

[SwitchA] vlan 201 to 202

[SwitchA] vlan 301 to 302

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] port link-type trunk

[SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 1 2 3 101 201 301

[SwitchA-GigabitEthernet1/0/1] vlan mapping 1 translated-vlan 101

[SwitchA-GigabitEthernet1/0/1] vlan mapping 2 translated-vlan 201

[SwitchA-GigabitEthernet1/0/1] vlan mapping 3 translated-vlan 301

[SwitchA-GigabitEthernet1/0/1] quit

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] port link-type trunk

[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 1 2 3 102 202 302

[SwitchA-GigabitEthernet1/0/2] vlan mapping 1 translated-vlan 102

[SwitchA-GigabitEthernet1/0/2] vlan mapping 2 translated-vlan 202

[SwitchA-GigabitEthernet1/0/2] vlan mapping 3 translated-vlan 302

[SwitchA-GigabitEthernet1/0/2] quit

# 配置上行端口GigabitEthernet1/0/3为Trunk端口,且允许转换后VLAN通过。

[SwitchA] interface gigabitethernet 1/0/3

[SwitchA-GigabitEthernet1/0/3] port link-type trunk

[SwitchA-GigabitEthernet1/0/3] port trunk permit vlan 101 201 301 102 202 302

[SwitchA-GigabitEthernet1/0/3] quit

(2)     配置Switch B

Switch B的配置与Switch A相似,配置过程略。

(3)     配置Switch C

# 使能DHCP Snooping功能。

<SwitchC> system-view

[SwitchC] dhcp snooping enable

# 创建原始VLAN和转换后VLAN,并在这些VLAN上分别使能ARP Detection功能。

[SwitchC] vlan 101

[SwitchC-vlan101] arp detection enable

[SwitchC-vlan101] vlan 201

[SwitchC-vlan201] arp detection enable

[SwitchC-vlan201] vlan 301

[SwitchC-vlan301] arp detection enable

[SwitchC-vlan301] vlan 102

[SwitchC-vlan102] arp detection enable

[SwitchC-vlan102] vlan 202

[SwitchC-vlan202] arp detection enable

[SwitchC-vlan202] vlan 302

[SwitchC-vlan302] arp detection enable

[SwitchC-vlan302] vlan 103

[SwitchC-vlan103] arp detection enable

[SwitchC-vlan103] vlan 203

[SwitchC-vlan203] arp detection enable

[SwitchC-vlan203] vlan 303

[SwitchC-vlan303] arp detection enable

[SwitchC-vlan303] vlan 104

[SwitchC-vlan104] arp detection enable

[SwitchC-vlan104] vlan 204

[SwitchC-vlan204] arp detection enable

[SwitchC-vlan204] vlan 304

[SwitchC-vlan304] arp detection enable

[SwitchC-vlan304] vlan 501

[SwitchC-vlan501] arp detection enable

[SwitchC-vlan501] vlan 502

[SwitchC-vlan502] arp detection enable

[SwitchC-vlan502] vlan 503

[SwitchC-vlan503] arp detection enable

[SwitchC-vlan503] quit

# 配置下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2为Trunk端口且允许原始VLAN及转换后VLAN通过,同时在端口上配置N:1 VLAN映射,并启用DHCP Snooping表项记录功能。

[SwitchC] interface gigabitethernet 1/0/1

[SwitchC-GigabitEthernet1/0/1] port link-type trunk

[SwitchC-GigabitEthernet1/0/1] port trunk permit vlan 101 102 201 202 301 302 501 to 503

[SwitchC-GigabitEthernet1/0/1] vlan mapping uni range 101 to 102 translated-vlan 501

[SwitchC-GigabitEthernet1/0/1] vlan mapping uni range 201 to 202 translated-vlan 502

[SwitchC-GigabitEthernet1/0/1] vlan mapping uni range 301 to 302 translated-vlan 503

[SwitchC-GigabitEthernet1/0/1] dhcp snooping binding record

[SwitchC-GigabitEthernet1/0/1] quit

[SwitchC] interface gigabitethernet 1/0/2

[SwitchC-GigabitEthernet1/0/2] port link-type trunk

[SwitchC-GigabitEthernet1/0/2] port trunk permit vlan 103 104 203 204 303 304 501 to 503

[SwitchC-GigabitEthernet1/0/2] vlan mapping uni range 103 to 104 translated-vlan 501

[SwitchC-GigabitEthernet1/0/2] vlan mapping uni range 203 to 204 translated-vlan 502

[SwitchC-GigabitEthernet1/0/2] vlan mapping uni range 303 to 304 translated-vlan 503

[SwitchC-GigabitEthernet1/0/2] dhcp snooping binding record

[SwitchC-GigabitEthernet1/0/2] quit

# 在上行端口GigabitEthernet1/0/3上配置网络侧N:1 VLAN映射。

[SwitchC] interface gigabitethernet 1/0/3

[SwitchC-GigabitEthernet1/0/3] vlan mapping nni

# 配置端口GigabitEthernet1/0/3为Trunk端口且允许转换后VLAN通过,并配置该端口为DHCP Snooping信任端口和ARP信任端口。

[SwitchC-GigabitEthernet1/0/3] port link-type trunk

[SwitchC-GigabitEthernet1/0/3] port trunk permit vlan 501 to 503

[SwitchC-GigabitEthernet1/0/3] dhcp snooping trust

[SwitchC-GigabitEthernet1/0/3] arp detection trust

[SwitchC-GigabitEthernet1/0/3] quit

(4)     配置Switch D

# 配置端口GigabitEthernet1/0/1为Trunk端口且允许转换后VLAN通过。

<SwitchD> system-view

[SwitchD] vlan 501 to 503

[SwitchD] interface gigabitethernet 1/0/1

[SwitchD-GigabitEthernet1/0/1] port link-type trunk

[SwitchD-GigabitEthernet1/0/1] port trunk permit vlan 501 to 503

[SwitchD-GigabitEthernet1/0/1] quit

4. 验证配置

(1)     查看Switch A上的VLAN映射配置信息

[SwitchA] display vlan mapping

Interface GigabitEthernet1/0/1:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  1             N/A           101                      N/A

  2             N/A           201                      N/A

  3             N/A           301                      N/A

Interface GigabitEthernet1/0/2:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  1             N/A           102                      N/A

  2             N/A           202                      N/A

  3             N/A           302                      N/A

(2)     查看Switch B上的VLAN映射配置信息

Switch B上的VLAN映射配置信息与Switch A相似,显示信息略。

(3)     查看Switch C上的VLAN映射配置信息

[SwitchC] display vlan mapping

Interface GigabitEthernet1/0/1:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  101-102       N/A           501                      N/A

  201-202       N/A           502                      N/A

  301-302       N/A           503                      N/A

Interface GigabitEthernet1/0/2:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  103-104       N/A           501                      N/A

  203-204       N/A           502                      N/A

  303-304       N/A           503                      N/A

以上信息表明,Switch A和Switch B上的1:1 VLAN映射,以及Switch C上的N:1 VLAN映射配置成功。

1.11.2  1:2和2:2 VLAN映射配置举例

1. 组网需求

·     VPN A中的Site 1和Site 2是某公司的两个分支机构,且分别利用VLAN 5和VLAN 6承载业务。由于分处不同地域,这两个分支机构采用了不同的SP所提供的VPN接入服务,SP 1和SP 2分别将VLAN 100和VLAN 200分配给这两个分支机构使用。

·     该公司希望其下属的这两个分支机构可以跨越SP 1和SP 2的网络实现互通。

2. 组网图

图1-16 1:2和2:2 VLAN映射配置组网图

 

3. 配置步骤

(1)     配置PE 1

# 在下行端口GigabitEthernet1/0/1上配置1:2 VLAN映射,为VLAN 5的报文添加VLAN 100的外层VLAN Tag。

<PE1> system-view

[PE1] interface gigabitethernet 1/0/1

[PE1-GigabitEthernet1/0/1] vlan mapping nest single 5 nested-vlan 100

# 配置GigabitEthernet1/0/1为Hybrid端口且允许VLAN 100的报文不携带VLAN Tag通过。

[PE1-GigabitEthernet1/0/1] port link-type hybrid

[PE1-GigabitEthernet1/0/1] port hybrid vlan 100 untagged

[PE1-GigabitEthernet1/0/1] quit

# 配置上行端口GigabitEthernet1/0/2为Trunk端口且允许VLAN 100通过。

[PE1] interface gigabitethernet 1/0/2

[PE1-GigabitEthernet1/0/2] port link-type trunk

[PE1-GigabitEthernet1/0/2] port trunk permit vlan 100

[PE1-GigabitEthernet1/0/2] quit

(2)     配置PE 2

# 配置端口GigabitEthernet1/0/1为Trunk端口且允许VLAN 100通过。

<PE2> system-view

[PE2] interface gigabitethernet 1/0/1

[PE2-GigabitEthernet1/0/1] port link-type trunk

[PE2-GigabitEthernet1/0/1] port trunk permit vlan 100

[PE2-GigabitEthernet1/0/1] quit

# 配置端口GigabitEthernet1/0/2为Trunk端口且允许VLAN 100通过。

[PE2] interface gigabitethernet 1/0/2

[PE2-GigabitEthernet1/0/2] port link-type trunk

[PE2-GigabitEthernet1/0/2] port trunk permit vlan 100

[PE2-GigabitEthernet1/0/2] quit

(3)     配置PE 3

# 配置端口GigabitEthernet1/0/1为Trunk端口且允许VLAN 100和200通过。

<PE3> system-view

[PE3] interface gigabitethernet 1/0/1

[PE3-GigabitEthernet1/0/1] port link-type trunk

[PE3-GigabitEthernet1/0/1] port trunk permit vlan 100 200

# 在端口GigabitEthernet1/0/1上配置2:2 VLAN映射,将外层VLAN为100、内层VLAN为5的报文的VLAN ID转换为外层VLAN为200、内层VLAN为6。

[PE3-GigabitEthernet1/0/1] vlan mapping tunnel 100 5 translated-vlan 200 6

[PE3-GigabitEthernet1/0/1] quit

# 配置端口GigabitEthernet1/0/2为Trunk端口且允许VLAN 200通过。

[PE3] interface gigabitethernet 1/0/2

[PE3-GigabitEthernet1/0/2] port link-type trunk

[PE3-GigabitEthernet1/0/2] port trunk permit vlan 200

[PE3-GigabitEthernet1/0/2] quit

(4)     配置PE 4

# 配置上行端口GigabitEthernet1/0/1为Trunk端口且允许VLAN 200通过。

<PE4> system-view

[PE4] interface gigabitethernet 1/0/1

[PE4-GigabitEthernet1/0/1] port link-type trunk

[PE4-GigabitEthernet1/0/1] port trunk permit vlan 200

[PE4-GigabitEthernet1/0/1] quit

# 配置下行端口GigabitEthernet1/0/2为Hybrid端口且允许VLAN 200的报文不携带VLAN Tag通过。

[PE4] interface gigabitethernet 1/0/2

[PE4-GigabitEthernet1/0/2] port link-type hybrid

[PE4-GigabitEthernet1/0/2] port hybrid vlan 200 untagged

# 在端口GigabitEthernet1/0/2上配置1:2 VLAN映射,为VLAN 6的报文添加VLAN 200的外层VLAN Tag。

[PE4-GigabitEthernet1/0/2] vlan mapping nest single 6 nested-vlan 200

[PE4-GigabitEthernet1/0/2] quit

4. 验证配置

(1)     查看PE 1上的VLAN映射配置信息

[PE1] display vlan mapping

Interface GigabitEthernet1/0/1:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  5             N/A           100                      5

(2)     查看PE 3上的VLAN映射配置信息

[PE3] display vlan mapping

Interface GigabitEthernet1/0/1:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  100           5             200                      6

(3)     查看PE 4上的VLAN映射配置信息

[PE4] display vlan mapping

Interface GigabitEthernet1/0/2:

  Outer VLAN    Inner VLAN    Translated Outer VLAN    Translated Inner VLAN

  6             N/A           200                      6

以上信息表明,PE 1和PE 4上的1:2 VLAN映射,以及PE 3上的2:2 VLAN映射配置成功。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们